Nessa página, são coletadas informações sobre os computadores com os quais os usuários podem tentar autenticar o servidor selecionado.
Essas configurações de segurança determinam qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa opção afeta o nível do protocolo de autenticação usado por clientes, o nível de segurança de sessão negociado e o nível de autenticação aceito pelos servidores.
Essas configurações de segurança também determinam se, na próxima alteração de senha, o valor de hash do LAN Manager (LM) da nova senha é armazenado. O hash do LM é relativamente fraco e vulnerável a ataques, se comparado com o hash do NTLM, que é mais forte em termos de criptografia. Como o hash do LM é armazenado no computador local no banco de dados de segurança, as senhas podem ficar comprometidas se o banco de dados de segurança for atacado.
Importante | |
Essa configuração pode afetar a capacidade dos computadores de se comunicar com computadores que executam o Windows NT Server 4.0 e versões anteriores na rede. Por exemplo, os computadores que executam o Windows NT Server 4.0 Service Pack 4 (SP4) e versões anteriores não oferecem suporte para NTLM versão 2 (NTLMv2). Os computadores que executam o Windows 95 e o Windows 98 não oferecem suporte para o NTLM. |
Chaves do Registro
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Configurações de segurança associadas
-
Segurança de rede: nível de autenticação com o LAN Manager
-
Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha
O fornecimento de informações imprecisas pode interromper a comunicação entre computadores na rede.
Para obter mais informações sobre essas configurações de segurança, consulte:
-
"Segurança de rede: nível de autenticação com o LAN Manager" (
https://go.microsoft.com/fwlink/?LinkId=17765 [a página pode estar em inglês] ).
-
"Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha" (
https://go.microsoft.com/fwlink/?LinkId=17766) [a página pode estar em inglês] ).
Somente para controladores de domínio
Uma opção adicional aparece quando a função Controlador de Domínio (Active Directory) é selecionada na página Selecionar Funções de Servidor. A opção a seguir é específica para controladores de domínio:
Computadores que usam RAS ou VPN para se conectarem a servidores RAS que não executam o Windows Server 2003 Service Pack 1 ou posterior
Os servidores do Serviço de autenticação da Internet (IAS) e os servidores que executam Roteamento e Acesso Remoto exigem o Windows Server 2003 Service Pack 1 (SP1) e suporte à autenticação PEAP-MSCHAPv2 somente para autenticar usuários com controladores de domínio que aceitam apenas NTLMv2.
Os servidores do IAS e os que executam Roteamento e Acesso Remoto usam NTLM para autenticar as credenciais de domínio de seus clientes. Isso significa que os controladores de domínio que precisam autenticar clientes do IAS ou de Roteamento e Acesso Remoto não podem ser configurados para aceitar apenas a autenticação NTLMv2. No entanto, começando com o Windows Server 2003 SP1, é possível que um controlador de domínio aceite NTLM de servidores do IAS e dos que executam Roteamento e Acesso Remoto, mas aceite apenas NTLMv2 de todos os outros. Isso acontece, por padrão, com servidores que executam o Windows Server 2003 SP1 e o IAS ou o Roteamento e Acesso Remoto e que usam PEAP-MSCHAPv2, porque PEAP-MSCHAPv2 oferece proteção de segurança equivalente à de NTLMv2. Esse isolamento não acontecerá por padrão, se o servidor que executar o Windows Server 2003 SP1 e o IAS ou o Roteamento e Acesso Remoto usar PPP-MSCHAPv2 para autenticar clientes.
Para evitar esse isolamento padrão para servidores que executam o Windows Server 2003 SP1 e o IAS ou o Roteamento e Acesso Remoto, pode-se definir o seguinte valor de Registro no controlador de domínio:
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
Se o valor do Registro tiver sido definido no controlador de domínio e este estiver configurado para aceitar somente NTLMv2, o controlador de domínio não poderá autenticar clientes de IAS ou de Roteamento e Acesso Remoto, mesmo que todos esses servidores estejam executando o Windows Server 2003 SP1. Portanto, se o valor de Registro DisallowMsvChapv2 tiver sido definido no controlador de domínio e este precisar autenticar clientes de IAS ou de Roteamento e Acesso Remoto, a caixa de seleção Computadores que usam RAS ou VPN para se conectarem a servidores RAS que não executam o Windows Server 2003 Service Pack 1 ou posterior deverá estar selecionada na página Métodos de Autenticação de Entrada, mesmo que todos os servidores que executam IAS ou Roteamento e Acesso Remoto estejam executando o Windows Server 2003 SP1. Como a marcação dessa caixa de seleção evita que o controlador de domínio seja configurado para aceitar somente NTLMv2, é recomendável que o valor do Registro DisallowMsvChapv2 não seja definido.